App Check를 사용하여 자체 호스팅 백엔드와 같은 앱의 비 Firebase 리소스를 보호할 수 있습니다. 이렇게 하려면 다음 두 가지를 모두 수행해야 합니다.
- 이 페이지에 설명된 대로 백엔드에 대한 각 요청과 함께 App Check 토큰을 보내도록 앱 클라이언트를 수정하십시오.
- 사용자 지정 백엔드에서 앱 확인 토큰 확인 에 설명된 대로 모든 요청에 유효한 앱 확인 토큰이 필요하도록 백엔드를 수정합니다.
시작하기 전에
기본 Play Integrity 공급자 또는 사용자 지정 공급자 를 사용하여 앱에 App Check를 추가합니다.
백엔드 요청과 함께 App Check 토큰 보내기
백엔드 요청에 유효하고 만료되지 않은 App Check 토큰이 포함되도록 하려면 getAppCheckToken()
호출에서 각 요청을 래핑합니다. App Check 라이브러리는 필요한 경우 토큰을 새로 고치고 메서드의 성공 수신기에서 토큰에 액세스할 수 있습니다.
유효한 토큰이 있으면 요청과 함께 백엔드로 보내십시오. 이를 수행하는 방법에 대한 세부 사항은 사용자에게 달려 있지만 쿼리 매개변수를 포함하여 URL의 일부로 App Check 토큰을 보내지 마십시오 . 이렇게 하면 우발적인 누출 및 가로채기에 취약합니다. 권장되는 접근 방식은 사용자 지정 HTTP 헤더에서 토큰을 보내는 것입니다.
예를 들어 Retrofit을 사용하는 경우:
Java
public class ApiWithAppCheckExample { private interface YourExampleBackendService { @GET("yourExampleEndpoint") Call<List<String>> exampleData( @Header("X-Firebase-AppCheck") String appCheckToken); } YourExampleBackendService yourExampleBackendService = new Retrofit.Builder() .baseUrl("https://yourbackend.example.com/") .build() .create(YourExampleBackendService.class); public void callApiExample() { FirebaseAppCheck.getInstance() .getAppCheckToken(false) .addOnSuccessListener(new OnSuccessListener<AppCheckToken>() { @Override public void onSuccess(@NonNull AppCheckToken tokenResponse) { String appCheckToken = tokenResponse.getToken(); Call<List<String>> apiCall = yourExampleBackendService.exampleData(appCheckToken); // ... } }); } }
Kotlin+KTX
class ApiWithAppCheckExample { interface YourExampleBackendService { @GET("yourExampleEndpoint") fun exampleData( @Header("X-Firebase-AppCheck") appCheckToken: String ): Call<List<String>> } var yourExampleBackendService: YourExampleBackendService = Retrofit.Builder() .baseUrl("https://yourbackend.example.com/") .build() .create(YourExampleBackendService::class.java) fun callApiExample() { FirebaseAppCheck.getInstance() .getAppCheckToken(false) .addOnSuccessListener { tokenResponse -> val appCheckToken = tokenResponse.token val apiCall = yourExampleBackendService.exampleData(appCheckToken) // ... } } }